Re: Re[2]: скрыть заголовок Server

Борис Долгов boris на dolgov.name
Ср Дек 9 16:19:25 MSK 2009


Если админ считает, что прятанье заголовка - это мера безопасности, то
это плохой админ. Проверка заголовка Server: у сайта и отправка ему
"опасного" запроса занимают одинаковое число времени, а результат у
первого - практически бесполезный, а у второго - и подтверждение
уязвимости и само пользование ею.
Тут давно была дискуссия на эту тему, погуглите архив на эту тему.

9 декабря 2009 г. 15:54 пользователь Alexandre Kalendarev
<akalend at mail.ru> написал:
>
>> Здравствуйте, Alexandre.
>>
>> Вы писали 9 декабря 2009 г., 15:59:10:
>>
>> > можно ли как-то скрыть заголовок Server?
>> > если делать add_header - то он не замещает заголовок, а добавляет к существующей строки.
>
>> Можно скрыть версию nginx
>> server_tokens off
>
> админ, как впрочем каждый админ,завернут на безопастности,
> и хочет скрыть сам заголовок,
> в случае если обнаружиться новая уязвимость, то
> чтоб не успели ей воспользоваться.
>
> лично по мне, так мне этот заголовок не мешает.
>
> буду патчить, там делов-то минут на 20-ть.
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://nginx.org/mailman/listinfo/nginx-ru
>



-- 
С уважением, Борис Долгов.
icq 77556665
e-mail boris at dolgov.name


Подробная информация о списке рассылки nginx-ru